詹姆斯·夏爾特(James Showalter)描述了一個非常具體的,即使不是完全不可能的噩夢場景。有人開車您的房屋,打破Wi-Fi密碼,然後開始混淆放置在車庫旁邊的太陽能轉換器 – 這個不引人注目的灰色盒子,該盒子從交替流的頂層的面板上轉換了直接流。
Showalter說,“您必須有一個太陽纏擾者”才能發揮這種情況,描述了那種自然應該在技術知識中出現在您路上的人 – 如何和動力如何在家裡失去能量系統。
Showalter,首席執行官 EG4電子一家位於德克薩斯州硫磺泉的公司並不特別考慮這一事件。儘管如此,這就是為什麼上週他的公司在網絡安全的CISA服務時引起了人們的關注 出版諮詢 EG4太陽能轉換器的安全漏洞細節。正如CISA所指出的那樣,這些缺陷可以使入侵者訪問與受影響的轉換器及其序列號進行數據跟踪,安裝惡意固件或了解整個系統的控制的序列號。
對於使用EG4逆變器模型的大約55,000個客戶來說,這一集可能感覺像是對一種不了解的設備的令人擔憂的介紹。他們正在學習的是,現代太陽逆變器不再僅僅是逆變器。現在,它們是家裡能源設施的骨幹,觀看了性能,與公用事業公司進行交流,並在電力過多時將其提供回網絡。
他們中的許多人發生了,沒有人觀察。 “沒有人知道五年前太陽能逆變器是什麼,”專門從事工業系統的網絡空間公司Dragos的主要顧問Justin Pascale觀察到。 “現在,我們在國家和國際一級談論它。”
安全缺陷和客戶投訴
其中一些數字強調了美國各個房屋在多大程度上成為小型電站。根據美國能源信息管理局的數據 超過五次 在2014年至2022年之間。曾經是氣候支持者的省,首先採用的是由於成本,政府激勵措施的下降以及對氣候變化的認識的提高而變得更加普遍。
每個太陽能安裝都為擴展的互連設備網絡添加了另一個節點,每個節點都促進了能源獨立性,同時也成為惡意意圖的人的潛在切入點。
TechCrunch活動
弗朗西斯科
|
2025年10月27日至29日
當按下公司的安全標準時,Showalter認識到他的弱點,但也會轉移。他說:“這不是EG4問題。” “這是整個行業的一個問題。”通過縮放電話,後來到該作者的收件箱中產生了一個 14頁報告 洪水88自2019年以來商業和住宅應用中的太陽能脆弱性通知。
並非所有客戶 – 其中一些 上了reddit 抗議 – 他們是同情的,尤其是當CISA的諮詢揭示了基本設計缺陷時:跟隨 – up和轉換器應用程序之間的通信出現在未加密的簡單文本中,沒有完整性控制和基本控制的固件更新。
一位要求匿名發言的公司客戶說:“這些都是基本的安全。”這個人繼續說:“增加傷害的傷害,“ EG4甚至沒有費心提醒我或提供擬議的測量。 ”
當被問及為什麼EG4在CISA到達公司時沒有立即提醒客戶時,Showalter將其稱為“活著和學習”。
Showalter說:“因為我們非常接近(處理CISA的問題),這與CISA是如此積極的關係,所以我們將達到“做”按鈕,然後向人們提供建議,因此我們不在蛋糕中間。”
TechCrunch本週早些時候到達CISA,以獲取更多信息。該組織尚未回答。 CISA在有關EG4的建議中指出,“目前CISA中沒有提到過針對這些漏洞的廣為人知的公眾剝削”。
與中國的聯繫引起安全問題
EG4公共關係危機的時間表雖然無關,但對可再生能源設備供應鏈的安全性更廣泛。
今年早些時候,美國能源官員開始重新評估中國設備在某些轉換器和電池內無法解釋的通信設備後造成的危險。 根據路透調查許多中國供應商在設備中發現了沒有紙張和其他通信設備的單元收音機 – 尚未出現在官方材料清單上的配件。
鑑於中國在太陽能生產方面的主權,這一發現具有一定的重量。路透社的同一個故事指出,華為是世界上最大的供應商,佔2022年全球任務的29%,其次是中國同學Sungrow和Ginlong Solis。一些 歐洲太陽能容量200 GW 它與在中國生產的轉換器相關,這與200多個核電站相當。
地緣政治後果並未逃脫通知。立陶宛 通過了一項法律 不包括遠程中國訪問太陽能,風能和電池安裝超過100 kW,從而有效地限制了中國轉換器的使用。 Showalter說,他的公司應對客戶的關注,開始擺脫中國供應商以及包括德國在內的其他公司製造的組成部分。
但是,EG4系統中描述的漏洞提出了超越單一公司或其成分的實踐的問題。美國標準服務NIST 警告 “如果您控制了相當大的太陽能家居轉換器,並且您的工作不好,那麼這可能會在很長一段時間內對網絡產生毀滅性的影響。”
好消息(如果有的話)雖然在理論上可能是可能的,但是這種情況面臨許多實際限制。
帕斯卡爾(Pascale)與公用事業公司合作 – 尺度太陽能設施指出,家用逆變器主要提供兩個功能:將電源從直接轉換為交流電流,並促進連接返回網絡。大規模攻擊將同時需要大量的單個房屋。 (這些攻擊並非不可能,但是它們更有可能需要對製造商本身的瞄準,其中一些人可以遠程訪問客戶的太陽能轉換器, 去年由安全研究人員證明)
現在,管理較大設施的監管框架現在沒有擴展到住宅系統。北美電力可靠性關鍵基礎設施的標準 力量 僅在產生75兆瓦或更多的較大設施中,例如太陽能農場。
由於住房設施遠低於這些閾值,因此它們在網絡空間標準仍然是建議而不是需求的監管灰色區域運行。
但最終結果是,成千上萬個小型設施的安全在很大程度上取決於在監管差距中運營的個別製造商的酌處權。
例如,關於非加密數據傳輸的問題,這是EG4收到CISA Slap Pascale指出的一個原因之一,在功能實用環境中,簡單的文本傳輸很常見,有時鼓勵用於網絡監控目的。
他解釋說:“當您在商業環境中查看加密時,就不允許。” “但是,當您查看商業環境時,大多數事情都會傳輸到簡單的文本。”
從另一種方面來說,真正的關注並不是對個人房主的直接威脅。相反,它與快速增長的網絡的總脆弱性有關。隨著能源網格的分佈越來越大,功率來自數百萬個小源而不是數十個大的電網,攻擊表面正在擴大。每個逆變器代表系統中從未旨在適應這種複雜程度的系統中的潛在壓力點。
Showalter接受了CISA的干預,因為他稱之為“信任升級”,這是在整個市場中區分公司的機會。他說,自6月以來,EG4與該組織合作,以應對定義的漏洞,從而減少了該公司期望在10月之前解決的剩餘三個要素中10個問題的初始清單。該過程包括更新固件傳輸協議,身份驗證在技術支持呼叫中的應用以及重新設計身份驗證過程。
但是,對於那些喜歡匿名EG4客戶對公司回應感到沮喪的人來說,這一集突出了太陽能收養者的奇怪立場。